März

Ausgesperrt?

Viele von euch wissen es, aber wir möchten nochmal daran erinnern: Wenn ihr euer Passwort vergesst, werden wir euch kein neues geben, wenn ihr danach fragt.

Ein Teil der Arbeit für mehr Sicherheit in der Kommunikation bedeutet, dass wir nicht aufzeichnen, wer ihr seid. Das heißt aber auch, dass wir keine Möglichkeit haben, festzustellen ob ihr auch wirklich ihr seid, wenn ihr nach eurem Passwort fragt. Wenn ihr euer Passwort vergessen habt, könnt ihr nur über das ‘Passwort vergessen"-Formular wieder Zugang zu eurem Konto erhalten, welches euch nur dann den Kontozugang wiederherstellen wird, wenn ihr eine in Eurem Konto zuvor eine alternative eMail-Adresse hinterlegt habt, und ihr auch weiterhin auf diese alternative eMail-Adresse zugreifen könnt.

Wir speichern nicht gerne alternative eMail-Adressen (oder überhaupt irgendwelche Daten) von euch, und deshalb empfehlen wir euch auch nicht, eine anzulegen - wenn ihr aber besorgt seid, dass ihr euer Passwort vergessen könntet, dann solltet ihr eine einrichten. Auf jeden Fall sollte euch bewusst sein, ob ihr eine alternative eMail-Adresse eingerichtet habt und wenn ja, wie sie lautet. Eine Anleitung zum Ändern oder Löschen eurer alternativen eMail-Adresse findet ihr hier:

https://help.riseup.net/de/email/settings/mail-accounts

Gruselige Sicherheitswarnungen nicht wegklicken!

Wie ihr vielleicht gehört habt[1], haben einige Leute gezielt “Man-in-the-middle”-Attacken (im Deutschen gelegentlich auch “Mittelsmannangriff” genannt) gegen Riseup-Nutzerinnen ausgeführt, um ihre Kontoinformationen zu stehlen. Insbesondere haben sie Nutzerinnen angegriffen, die über Tor auf Riseup zugreifen (Tor ist eine Software, um sich anonymer im Internet zu bewegen). Damit ihre Angriffe funktionieren, müssen Nutzer*innen eine gruselige Sicherheitswarnung wegklicken, die ungefähr so lautet (im Fall von Firefox):

Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung
zu mail.riseup.net aufzubauen,
es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn ihr beim Versuch, eine Riseup-Site aufzurufen, so eine Warnung seht, dann solltet ihr die Verbindung NICHT fortsetzen oder Kontoinformationen eingeben.

Ein besonderer Hinweis für Nutzer*innen von Tor: ihr solltet Riseup’s .onion-Adressen verwenden und verifizieren, dass diese Adressen korrekt sind.[2] Wenn ihr das getan habt, braucht ihr kein https:// um auf hidden services (versteckte Dienste) zuzugreifen, da hidden services Ende-zu-Ende verschlüsselt sind.

[1] http://www.forbes.com/sites/thomasbrewster/2015/02/24/blockchain-and-darknet-hacks-lead-to-epic-bitcoin-losses/ [2] https://help.riseup.net/de/security/network-security/tor#riseups-versteckte-tor-dienste

Listen/Verteiler aufräumen

In unserem Winkel der Welt hat der Frühling begonnen und das heißt, dass ich Zeugs rausgeschmissen und aufgeräumt habe. Vielleicht könntet ihr das auch tun?

Wenn ihr Listen(/Verteiler)-Administrator*innen seid, warum nicht einen Blick auf die Mitglieder eurer Liste werfen und diejenigen Adressen rausräumen, die nicht mehr zu eurem Projekt gehören? Das ist aus zwei Gründen eine gute Idee:

(1) Es ist grundsätzlich eine sinnvolle Sicherheitspraxis: Nur mit jenen kommunizieren, die davon wissen müssen.

(2) Von Zeit zu Zeit werden wir einem der großen eMail-Provider als Spamverteiler gemeldet, weil die Leute es leid sind, Nachrichten von euren Listen zu bekommen und sich nicht darüber im klaren sind, was Spam ist. Also melden sie uns, unsere Dienste werden blockiert, und die Listen sind für Stunden bis Tage für alle verkorkst. Urg.